Horario Ponencias MorterueloCON 2020

Las ponencias se desarrollarán durante el día 28-02-2020 en los siguientes horarios:
09:00/09:30

Recepción y acreditación de los asistentes a la 6ª Edición de MorteureloCon

09:30/10:00

Inauguración de las Jornadas

10:00/10:40

Con la propagación de los dispositivos del llamado Internet de las cosas en nuestros hogares se han producido importantes cambios en nuestra forma de relacionarnos, no solo con la domótica, sino también con todo tipo de servicios accesibles desde este tipo de dispositivos. Si bien, los beneficios que aporta el IoT a nuestros hogares son muchos, también lo son los riesgos asociados a un mal diseño o implementación, y que pueden comprometer datos e información confidencial, así como provocar situaciones molestas e incluso peligrosas para nuestra salud física.
Para ver a que riesgos nos exponemos, hemos realizado durante los últimos meses una serie de pruebas a varios de estos dispositivos, para revisar el nivel de seguridad que incorporan y a que riesgos nos exponen. Esta presentación es el resultado de esas investigaciones, donde se analizarán, entre otros, sistemas operativos utilizados en Smart TVs y otros dispositivos de streaming multimedia, asistentes virtuales, sensores de movimiento, cámaras de vigilancia, estaciones meteorológicas, básculas y sistemas de medición de salud cardiaca, altavoces WiFi y enchufes inteligentes.
Durante la presentación analizaremos aspectos como sus funcionalidades, el tratamiento de los datos recopilados, su seguridad en base a las vulnerabilidades encontradas y su vinculación con otros dispositivos. Todo ello con la finalidad de mostrar a la audiencia de forma amena cuales son los pros y las contras de este tipo de dispositivos para que valoren o no su adquisición en base a los datos expuestos.

10:50/11:30

Continuamente nos llegan ofertas de muerte de artículos muy buscados con precios irresistibles. A veces como anuncios en webs o redes sociales, y otras por correos electrónicos. Con el auge de los black fridays, singles days, rebajas, navidades, continuamente nos inundan de chollos irresistibles. Y por desgracia muchas veces son fraudes. Hoy día algunos son prácticamente indistinguibles de los originales, y se hace más necesario que nunca técnicas OSINT para descubrir realmente quienes están detrás de esas falsas webs y quienes envían esos correos, cómo lo hacen, qué mecanismos utilizan, y de qué modo podríamos reconocerlos de manera totalmente efectiva. Veremos cómo mediante de técnicas OSINT podemos descubrir las sociedades empresariales detrás de estas técnicas fraudulentas, cómo se distribuyen, y dónde se fabrican. Y lo más interesante, podemos determinar los patrones que siguen esas webs para bloquearlas y poner a salvo a nuestros usuarios, o emplearlos como herramientas de detección de indicadores de compromiso en investigaciones forenses y policiales.

11:30/12:00

A esta hora haremos un descanso para tomar un pequeño almuerzo proporcionado por la Organización.

12:00/12:40

Las Administraciones Públicas deben notificar aquellos incidentes que tengan un impacto significativo en la seguridad de la información que manejan y de los servicios que prestan.

De los diversos organismos que tienen atribuidas las competencias en materia de ciberseguridad, el Sector Público tiene asignado como organismo de referencia al CCN-CERT del Centro Criptológico Nacional del Centro Nacional de Inteligencia.

La presentación introducirá la gestión de incidentes de seguridad y cómo la Administración Regional comunica dichos incidentes al CCN-CERT del Centro Criptológico Nacional.

12:50/13:30

Uso avanzado de ZAP en donde se explicarán los siguientes puntos desde la práctica (en vivo) Se explicarán los siguientes puntos. - Procesos de pentesting con ZAP. - Tuning de la JVM para ejecutar ZAP de forma más óptima. - Escaneos activos y pasivos con ZAP. - Procesos de Fuzzing. - Grabación y ejecución de rutinas con Zest. - Scripting con Zest utilizando la interfaz de ZAP. - Rutinas automátizadas utilizando la API Rest de ZAP.

13:40/14:10
14:10/15:30

Haremos una pequeña pausa para comernos un bocadillo y un agua.

15:30/16:10

Se hablara sobre el Red Team como equipo ofensivo, el Blue Team como equipo defensivo y el Purple Team como equipo colaborativo, donde el Purple Team se muestra como un enfoque moderno al desarrollo seguro de aplicaciones, y como se relaciona con la cultura SecDevOps(DevSecOps), tambien se mostrara lo que es capaz un Purple Team haciendo uso de metodologias y herramientas para ello

16:20/17:00

Jorge Coronado explicará no solo las aplicaciones y metodologías para realizar una auditoría de caja negra, también usará OSINT automátizado para realizar un APT que dejará al espectador con la sensación entre ir a tomar una cruzcampo y meter sus móviles en una bañera llena de agua. También las dificultades para conseguir clientes, y, también, la especial situación de tener una empresa en Andalucía. Exponiendo su experiencia como CEO de una empresa que dispone de un SOC para pymes y peritos informáticos en Sevilla.

17:10/17:50

Se trata de una charla introductoria a los sistemas ferroviarios, explicando sistemas de señales como el Bloqueo Telefónico, Bloqueo automático, Control de Tráfico centralizado, ASFA, ERMTS, GSM-R, etc. Qué riesgos componen cada uno, etc.
También se analizará la seguridad y resiliencia ante fallos de la red española gestionada por Adif, basándose en sus documentos públicos, y qué cosas nos podemos creer y cuáles… ejem…

17:50/18:00

Despedida de los asistentes que no nos acompañen a la siguiente actividad

CONs-amigas